DHCP Snooping技术以其如何防御网络攻击

　　架设DHCP服务器可以为客户端自动分配IP地址，掩码、默认网关、DNS服务器等网络参数，简化了网络配置，提高了管理效率。但在DHCP服务的管理上存在一些问题。

　　1、DHCP服务的常见问题
　　业内部访问者与外部访问者的数量在不断变化，这增大了它所面对的安全威胁，而且内外访问的界线也在逐渐模糊。如果一个组织在设计网络架构时加入了不安全的系统和协议，那么网络基础架构就可能有风险。例如，有时候一些2层协议的安全性就被忽视了，如动态主机配置协议（DHCP）。DHCP是一种辅助协议，它工作在后台，大多数用户都不会注意到它的存在。事实上，这种没有得到重视的情况就意味着供应商也可能会忽略这种攻击。DHCP snooping就是一种可用于防御许多常见攻击的防控技术。
　　DHCP可能受到几种不同方式的攻击，其中包括恶意DHCP服务器或本地交换网络的地址解析协议（ARP）污染。并非所有意外事件都属于恶意攻击。举个例子来说，一位最终用户可能连接了一个启用DHCP的网络设备或路由器，结果就可能给其他用户分配一个无效的DHCP地址。另外，攻击者也可能发起了一个资源耗尽的攻击，并且尝试用光所有的DHCP地址。危害更大的方法是，攻击者会主动尝试重定向用户的DHCP服务器请求。当然，这些只是促使您使用DHCP snooping技术的一部分原因。
　　这种中间人攻击的机制要求攻击者创建自己的DHCP服务器。接下来，攻击者会广播伪造的DHCP请求，并且尝试用光DHCP范围内的所有DHCP地址。结果，合法用户就无法从DHCP服务器获得或更新IP地址。然后，攻击者就开始用它的欺骗性DHCP服务器分配所抢占的DHCP地址，使它的地址成为新的网关。接收到这些地址的最终用户就可能被重定向到攻击者，然后再通向互联网。这样它就盗用了网络连接。
　　上面的场景只是经典中间人攻击的另一种变化。这种技术需要将攻击者置于所攻击网络内部，从而让他能够窥探客户流量。或许您会认为这种攻击并不可怕，但是现在已经出现了许多专门发起这些攻击的工具，如Gobbler、DHCPstarv和Yersinia。
　　2、DHCP Snooping技术介绍
　　DHCP监听（DHCP Snooping）是一种DHCP安全特性。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通过这种特性，交换机能够拦截第二层VLAN域内的所有DHCP报文。
　　DHCP监听将交换机端口划分为两类：
　　●非信任端口：通常为连接终端设备的端口，如PC，网络打印机等
　　●信任端口：连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口
　　通过开启DHCP监听特性，交换机限制用户端口（非信任端口）只能够发送DHCP请求，丢弃来自用户端口的所有其它DHCP报文，例如DHCP Offer报文等。而且，并非所有来自用户端口的DHCP请求都被允许通过，交换机还会比较DHCP 请求报文的（报文头里的）源MAC地址和（报文内容里的）DHCP客户机的硬件地址（即CHADDR字段），只有这两者相同的请求报文才会被转发，否则将被丢弃。这样就防止了DHCP耗竭攻击。
　　信任端口可以接收所有的DHCP报文。通过只将交换机连接到合法DHCP服务器的端口设置为信任端口，其他端口设置为非信任端口，就可以防止用户伪造DHCP服务器来攻击网络。DHCP监听特性还可以对端口的DHCP报文进行限速。通过在每个非信任端口下进行限速，将可以阻止合法DHCP请求报文的广播攻击。
　　DHCP监听还有一个非常重要的作用就是建立一张DHCP监听绑定表（DHCP Snooping Binding）。一旦一个连接在非信任端口的客户端获得一个合法的DHCP Offer，交换机就会自动在DHCP监听绑定表里添加一个绑定条目，内容包括了该非信任端口的客户端IP地址、MAC地址、端口号、VLAN编号、租期等信息。如：
　　Switch#show ip dhcp snooping binding
　　MacAddress
　　IpAddress
　　Lease(sec) Type
　　VLAN
　　Interface
　　------------------ --------------- ---------- ------------- -----------
　　00:0F:1F:C5:10:08 192.168.10.131 682463 dhcp-snooping 10 FastEthernet0/1
　　这张DHCP监听绑定表为进一步部署IP源防护（IPSG）和动态ARP检测（DAI）提供了依据。说明：
　　I. 非信任端口只允许客户端的DHCP请求报文通过，这里只是相对于DHCP报文来说的。其他非DHCP报文还是可以正常转发的。这就表示客户端可以以静态指定IP地址的方式通过非信任端口接入网络。由于静态客户端不会发送DHCP报文，所以DHCP监听绑定表里也不会有该静态客户端的记录。
　　信任端口的客户端信息不会被记录到DHCP监听绑定表里。如果有一客户端连接到了一个信任端口，即使它是通过正常的DHCP方式获得IP地址，DHCP监听绑定表里也不有该客户端的记录。如果要求客户端只能以动态获得IP的方式接入网络，则必须借助于IPSG和DAI技术。
　　II.交换机为了获得高速转发，通常只检查报文的二层帧头，获得目标MAC地址后直接转发，不会去检查报文的内容。而DHCP监听本质上就是开启交换机对DHCP报文的内容部分的检查，DHCP报文不再只是被检查帧头了。
　　III. DHCP监听绑定表不仅用于防御DHCP攻击，还为后续的IPSG和DAI技术提供动态数据库支持。
　　IV. DHCP监听绑定表里的Lease列就是每个客户端对应的DHCP租约时间。当客户端离开网络后，该条目并不会立即消失。当客户端再次接入网络，重新发起DHCP请求以后，相应的条目内容就会被更新。如上面的00F.1FC5.1008这个客户端原本插在Fa0/1端口，现在插在Fa0/3端口，相应的记录在它再次发送DHCP请求并获得地址后会更新为：
　　Switch#show ip dhcp snooping binding
　　or
　　Switch#show ip source binding
　　MacAddress 　IpAddress　Lease(sec) 　　Type 　　VLAN 　　　Interface
　　------------------ 　　　--------------- 　　---------- 　-----------
　　00:0F:1F:C5:10:08 192.168.10.131 691023 dhcp-snooping 10
　　FastEthernet0/3
　　V.当交换机收到一个DHCPDECLINE或DHCPRELEASE广播报文，并且报文头的源MAC地址存在于DHCP监听绑定表的一个条目中。但是报文的实际接收端口与绑定表条目中的端口字段不一致时，该报文将被丢弃。
　　●DHCPRELEASE报文：此报文是客户端主动释放IP 地址（如windows 客户端使用ipconfig/release），当DHCP服务器收到此报文后就可以收回IP地址，分配给其他的客户端了
　　●DHCPDECLINE报文：当客户端发现DHCP服务器分配给它的IP地址无法使用（如IP地址发生冲突）时，将发出此报文让DHCP服务器禁止使用这次分配的IP地址。
　　VI. DHCP监听绑定表中的条目可以手工添加。
　　VII. DHCP监听绑定表在设备重启后会丢失，需要重新绑定，但可以通过设置将绑定表保存在flash或者tftp/ftp服务器上，待设备重启后直接读取，而不需要客户端再次进行绑定
　　VIII. 当前主流的Cisco交换机基本都支持DHCP Snooping功能。
　　3、在现有交换机上创建DHCP snooping
　　DHCP snooping是通过现有交换机在数据链路层实现的，它可以对抗攻击，阻挡未授权DHCP服务器。它使2层协议交换机能够检测从特定端口接收的数据帧，然后检查它们是否来自合法的DHCP服务器。
　　这个2层处理过程包括几个步骤。首先，您需要在交换机上启用全局DHCP，然后再在各个虚拟LAN（VLAN）上启用DHCP snooping。最后，您还必须配置各个可信端口。下面是一个启用DHCP SNOOPING的例子：
　　Switch(config)#ip dhcp snooping
　　Switch(config)#ip dhcp snooping vlan 30
　　Switch(config)#interface gigabitethernet1/0/1
　　Switch(config-if)#ip dhcp snooping trust
　　在这个例子中，交换机启用了全局DHCP snooping，然后再为VLAN 30启用DHCP snooping。唯一可信的接口是gigabitEthernet1/0/1。DHCP snooping可以帮助保证主机只使用分配给它们的IP地址，并且验证只能访问授权的DHCP服务器。在实现之后，DHCP snooping就会丢弃来自未可信DHCP服务器的DHCP消息。
　　4、使用DHCP snooping防止ARP缓存污染
　　DHCP snooping还可以跟踪主机的物理位置，从而可以防御（ARP）缓存污染攻击。它在防御这些攻击的过程中发挥重要作用，因为您可以使用DHCP snooping技术丢弃一些来源与目标MAC地址不符合已定义规则的DHCP消息。管理会收到通过DHCP snooping警报通知的违规行为。当DHCP snooping服务检测到违规行为时，它会在系统日志服务器上记录一条消息“DHCP Snooping”。
　　DHCP snooping是实现2层协议流量安全性的第一步。恶意DHCP服务器不仅会导致网络问题，它们还可以被攻击者用于转发敏感流量和发起中间人攻击。如果还没有做好这些措施，那么一定要考虑实现这些防御措施，保证网络基础架构的安全性。